Le cheval de Troie bancaire Windows connu sous le nom Coyote est devenu la première souche malveillante connue à exploiter le cadre d’accessibilité Windows appelé Automatisation de l’interface utilisateur (UIA) pour récolter des informations sensibles.
“La nouvelle variante Coyote cible les utilisateurs brésiliens et utilise l’UIA pour extraire des informations d’identification liées à 75 adresses Web des instituts bancaires et échanges de crypto-monnaie”, a déclaré le chercheur en sécurité Akamai, Tom Peled, dans une analyse.
Coyote, révélé pour la première fois par Kaspersky en 2024, est connu pour cibler les utilisateurs brésiliens. Il est livré avec des capacités pour enregistrer des frappes, capturer des captures d’écran et servir les superpositions au-dessus des pages de connexion associées aux entreprises financières.
Dans la partie du framework Microsoft .NET, UIA est une fonctionnalité légitime offerte par Microsoft pour permettre aux lecteurs d’écran et à d’autres produits de technologie d’assistance pour accéder à l’interface utilisateur (UI) d’écran par programme (UI) sur un bureau.
Le fait que l’UIA puisse être une voie potentielle pour les abus, y compris le vol de données, a été précédemment démontré comme une preuve de concept (POC) par Akamai en décembre 2024, la société d’infrastructure Web notant qu’elle pourrait être utilisée pour voler des informations d’identification ou exécuter du code.
À certains égards, le dernier modus operandi de Coyote reflète les divers chevaux de Troie bancaires Android qui ont été repérés à l’état sauvage, ce qui arme souvent les services d’accessibilité du système d’exploitation pour obtenir des données précieuses.
L’analyse d’Akamai a révélé que le malware invoque l’API Windows GetForeGroundWindow () afin d’extraire le titre de la fenêtre active et de le comparer avec une liste codée dure des adresses Web appartenant aux banques ciblées et aux échanges de crypto-monnaie.
“Si aucune correspondance n’est trouvée, Coyote utilisera alors UIA pour analyser les éléments enfants de l’interface utilisateur de la fenêtre dans le but d’identifier les onglets de navigateur ou les barres d’adresse”, a expliqué Peled. “Le contenu de ces éléments d’interface utilisateur sera alors croisé avec la même liste d’adresses de la première comparaison.”
Jusqu’à 75 institutions financières différentes sont ciblées par la dernière version des logiciels malveillants, contre 73 documentés par Fortinet Fortiguard Labs plus tôt en janvier.
“Sans UIA, l’analyse des sous-éléments d’une autre application est une tâche non triviale”, a ajouté Akamai. “Pour pouvoir lire efficacement le contenu des sous-éléments dans une autre application, un développeur devrait avoir une très bonne compréhension de la structure de l’application cible spécifique.”
“Coyote peut effectuer des chèques, que le malware est en ligne ou fonctionne en mode hors ligne.
